一种电力物联网设备的密钥分发方法和系统与流程

1.本发明涉及密钥分发技术领域，并且更具体地，涉及一种电力物联网设备的密钥分发方法和系统。


背景技术：

2.为满足电力物联网对业务功能拓展的需求，构建以智慧能源、智能家居物联网系统，传统电气设备将改造成为新一代智能物联设备，被赋予更多的功能。智能物联设备包括智能电能表、断路器、扩展模组、蓝牙锁具、背夹等，是构建电力物联网系统中不可缺少的组成部分，对于用电安全、故障检修、状态查询等都有着重要的现实意义。新一代智能物联设备不仅是实现用户状态智能感知的计量终端，同时也是电网公司实现与用户增强互动友好的桥梁，可通过用户手机、智能家居等与智能物联设备互联通信，为国网公司新兴业务发展提供庞大的用户基础。
3.同时，智能物联设备也存在一定的安全隐患，在物联生态系统构建过程中，对于模组部件的安全访问提出了更高的要求。因此在物联设备中嵌入了安全软算法模块，用于保障通信安全，保证物联设备的安全性。在与智能物联设备连接时，利用安全软算法模块进行身份认证；在与智能物联设备进行业务数据交互时，利用安全软算法模块进行数据加解密和完整性保护。为保证智能物联设备能正确进行身份认证和加解密操作，必须在智能物联设备出厂时进行密钥初始化，注入初始密钥，防止智能物联设备无法正确、安全与外部设备连接。然而，目前在向智能物联设备的安全软算法模块远程分发密钥时无法保证密钥的安全性。


技术实现要素：

4.为克服上述现有技术的不足，本发明提供一种电力物联网设备的密钥分发方法和系统。
5.根据本发明的一个方面，提供了一种电力物联网设备的密钥分发方法，包括：
6.密钥分发终端向密钥分发装置发起密钥获取请求；
7.密钥分发装置根据所述密钥获取请求，确定采用的密钥下发方式，其中所述密钥下发方式分为密钥在线下发和密钥离线下发两种方式；
8.密钥分发装置采用与确定的密钥下发方式对应的获取规则，获取对应的密钥数据；
9.密钥分发装置按照密钥分发终端和密钥分发装置间的通信协议，将密钥数据下发至密钥分发终端；
10.密钥分发终端对密钥数据进行解析，并下发给使用密钥的智能物联设备。
11.可选地，密钥分发装置采用与确定的密钥下发方式对应的获取规则，获取对应的密钥数据，包括：
12.在确定的密钥下发方式为密钥在线下发时，密钥分发装置根据密钥获取请求中的
id查询本地是否保存了该id的密钥；
13.在本地没有保存该id的密钥时，密钥分发装置的密钥存储与分发模块向密服平台认证与接入模块提出密钥获取申请；
14.密钥分发装置的密服平台认证与接入模块调用内部硬件密码模块对申请进行加密，并组织报文向密服平台发出请求；
15.密服平台处理请求，生成密钥，并将应答数据段发送给密钥分发装置的密服平台认证与接入模块；
16.密钥分发装置的密服平台认证与接入模块处理接收数据，将应答数据段进行解析和解封装，得到密钥数据。
17.可选地，密钥分发装置采用与确定的密钥下发方式对应的获取规则，获取对应的密钥数据，包括：
18.在确定的密钥下发方式为密钥离线下发时，密钥分发装置根据密钥获取请求中的id查询本地是否保存了该id的密钥；
19.在本地保存有该id的密钥时，密钥分发装置从本地获取密钥数据。
20.可选地，该方法还包括：
21.密钥分发装置与密服平台进行认证和接入；
22.密钥分发装置与密服平台建立通道连接。
23.可选地，所述密钥获取请求中包括八个字节的id。
24.根据本发明的另一个方面，提供了一种电力物联网设备的密钥分发系统，包括：
25.第三方密码服务平台、密钥分发管理模块和密钥注入模块；其中
26.第三方密码服务平台包括密码机和密服平台，密钥分发管理模块包括密钥分发装置和密钥分发客户端，密钥注入模块包括密钥分发终端和智能物联设备；
27.密钥分发终端用于向密钥分发装置发起密钥获取请求；
28.密钥分发装置用于根据所述密钥获取请求，确定采用的密钥下发方式，其中所述密钥下发方式分为密钥在线下发和密钥离线下发两种方式；
29.密钥分发装置用于采用与确定的密钥下发方式对应的获取规则，获取对应的密钥数据；
30.密钥分发装置用于按照密钥分发终端和密钥分发装置间的通信协议，将密钥数据下发至密钥分发终端；
31.密钥分发终端用于对密钥数据进行解析，并下发给使用密钥的智能物联设备；
32.第三方密码服务平台用于生成并管理密钥，包括生成密钥内容、提供硬件算法接口、按照特定协议进行加解密封装、提供随机数接口和密钥条数管理。
33.可选地，密钥分发装置由密服平台认证与接入模块、密钥存储与分发模块两部分组成，其中
34.密服平台认证与接入模块与第三方密码服务平台认证，接入第三方密码服务平台进行数据通信和密钥获取，并将用户的请求进行加密和按照约定的格式封装并发送给密服平台；
35.密钥存储与分发模块用于接收用户的请求、查询数据库、存储密钥以及发送请求。
36.可选地，密钥分发客户端用于连接密钥分发装置的密钥存储与分发模块，按照通
信协议发送获取密钥请求、密钥查询以及密钥存储。
37.可选地，密钥分发终端用于调用密钥分发装置的密钥初始化程序，将第三方密码服务平台生成的密钥信息下发给智能物联设备的安全软算法模块。
38.可选地，智能物联设备包括背夹、断路器和扩展模组。
39.可选地，密钥分发装置采用与确定的密钥下发方式对应的获取规则，获取对应的密钥数据，包括：
40.在确定的密钥下发方式为密钥在线下发时，密钥分发装置根据密钥获取请求中的id查询本地是否保存了该id的密钥；
41.在本地没有保存该id的密钥时，密钥分发装置的密钥存储与分发模块向密服平台认证与接入模块提出密钥获取申请；
42.密钥分发装置通过密服平台认证与接入模块调用内部硬件密码模块对申请进行加密，并组织报文向密服平台发出请求；
43.密服平台处理请求，生成密钥，并将应答数据段发送给密钥分发装置的密服平台认证与接入模块；
44.密钥分发装置的密服平台认证与接入模块处理接收数据，将应答数据段进行解析和解封装，得到密钥数据。
45.可选地，密钥分发装置采用与确定的密钥下发方式对应的获取规则，获取对应的密钥数据，包括：
46.在确定的密钥下发方式为密钥离线下发时，密钥分发装置根据密钥获取请求中的id查询本地是否保存了该id的密钥；
47.在本地保存有该id的密钥时，密钥分发装置从本地获取密钥数据。
48.从而，本发明提供的电力物联网设备的密钥分发方法，通过互联网远程认证接入第三方密码服务平台，过程中以本地产生的公钥保护相关流程获取传输保护密钥，该传输保护密钥用于保护密钥远程传输过程。本发明以id作为标识进行密钥申请，获取由传输保护密钥保护的密钥密文，解密后得到密钥。对该密钥明文进行长度、校验字段等相关字段进行验证，去除填充得到智能物联设备密钥。按照自定义协议将智能物联设备密钥注入到安全软算法模块中。从而，在向智能物联设备的安全软算法模块远程分发密钥时能够有效保证密钥的安全性。
附图说明
49.通过参考下面的附图，可以更为完整地理解本发明的示例性实施方式：
50.图1是本发明一示例性实施例提供的电力物联网设备的密钥分发方法的流程图；
51.图2是本发明一示例性实施例提供的密钥在线分发的流程示意图；
52.图3是本发明一示例性实施例提供的密钥离线分发的流程示意图；
53.图4是本发明一示例性实施例提供的电力物联网设备的密钥分发系统的结构图。
具体实施方式
54.下面，将参考附图详细地描述根据本发明的示例实施例。显然，所描述的实施例仅仅是本发明的一部分实施例，而不是本发明的全部实施例，应理解，本发明不受这里描述的
示例实施例的限制。
55.应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
56.本领域技术人员可以理解，本发明实施例中的“第一”、“第二”等术语仅用于区别不同步骤、设备或模块等，既不代表任何特定技术含义，也不表示它们之间的必然逻辑顺序。
57.还应理解，在本发明实施例中，“多个”可以指两个或两个以上，“至少一个”可以指一个、两个或两个以上。
58.还应理解，对于本发明实施例中提及的任一部件、数据或结构，在没有明确限定或者在前后文给出相反启示的情况下，一般可以理解为一个或多个。
59.另外，本发明中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本发明中字符“/”，一般表示前后关联对象是一种“或”的关系。
60.还应理解，本发明对各个实施例的描述着重强调各个实施例之间的不同之处，其相同或相似之处可以相互参考，为了简洁，不再一一赘述。
61.同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
62.以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。
63.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，技术、方法和设备应当被视为说明书的一部分。
64.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
65.图1是本发明一示例性实施例提供的电力物联网设备的密钥分发方法的结构图。本实施例可应用在电子设备上，如图1所示，电力物联网设备的密钥分发方法100包括以下步骤：
66.步骤101：密钥分发终端向密钥分发装置发起密钥获取请求；
67.可选地，所述密钥获取请求中包括八个字节的id。
68.步骤102：密钥分发装置根据所述密钥获取请求，确定采用的密钥下发方式，其中所述密钥下发方式分为密钥在线下发和密钥离线下发两种方式；
69.步骤103：密钥分发装置采用与确定的密钥下发方式对应的获取规则，获取对应的密钥数据；
70.可选地，密钥分发装置采用与确定的密钥下发方式对应的获取规则，获取对应的密钥数据，包括：在确定的密钥下发方式为密钥在线下发时，钥分发装置根据密钥获取请求中的id查询本地是否保存了该id的密钥；在本地没有保存该id的密钥时，密钥分发装置的密钥存储与分发模块向密服平台认证与接入模块提出密钥获取申请；密钥分发装置的密服平台认证与接入模块调用内部硬件密码模块对申请进行加密，并组织报文向密服平台发出请求；密服平台处理请求，生成密钥，并将应答数据段发送给密钥分发装置的密服平台认证与接入模块；密钥分发装置的密服平台认证与接入模块处理接收数据，将应答数据段进行
解析和解封装，得到密钥数据。
71.可选地，密钥分发装置采用与确定的密钥下发方式对应的获取规则，获取对应的密钥数据，包括：在确定的密钥下发方式为密钥离线下发时，密钥分发装置根据密钥获取请求中的id查询本地是否保存了该id的密钥；在本地保存有该id的密钥时，密钥分发装置从本地获取密钥数据。
72.步骤104：密钥分发装置按照密钥分发终端和密钥分发装置间的通信协议，将密钥数据下发至密钥分发终端；
73.步骤105：密钥分发终端对密钥数据进行解析，并下发给使用密钥的智能物联设备。
74.可选地，该方法还包括：密钥分发装置与密服平台进行认证和接入；密钥分发装置与密服平台建立通道连接。
75.下面将结合附图2进一步详细说明本发明中密钥在线下发的流程，具体如下：
76.a)密钥分发装置与密服平台进行认证和接入；
77.b)密钥分发装置与密服平台建立通道连接；
78.c)密钥分发终端的向密钥分发装置发起密钥获取请求，请求包含八个字节的id；
79.d)密钥分发装置根据id查询本地是否保存了该id的密钥；
80.e)密钥分发装置的密钥存储与分发模块向密服平台认证与接入模块提出密钥获取申请；
81.f)密钥分发装置的密服平台认证与接入模块调用内部硬件密码模块对请求进行加密，并组织报文向密服平台发出请求；
82.g)密服平台处理请求、生成密钥，并将应答数据段发送给密钥分发装置的密服平台认证与接入模块；
83.h)密钥分发装置的密服平台认证与接入模块处理接收数据，将应答进行解析和解封装，得到32*3字节的密钥，发送给密钥分发装置的密钥存储与分发模块；
84.i)密钥分发装置的密钥存储与分发模块按照密钥分发终端和密钥分发装置间的通信协议下发给密钥分发终端；
85.j)密钥分发终端的密钥初始化软件进行密钥解析，并下发给使用密钥的智能物联设备。
86.下面将结合附图3进一步详细说明本发明中密钥离线下发的流程，具体如下：
87.a)密钥分发终端的密钥初始化软件向密钥分发装置发起密钥获取请求，请求包含八个字节的id；
88.b)密钥分发装置密钥存储与分发模块根据id查询本地是否保存了该id的密钥；
89.c)密钥分发装置的密钥存储与分发模块按照密钥分发终端和密钥分发装置间的通信协议，将密钥数据离线下发给密钥分发终端的密钥初始化软件；
90.d)密钥分发终端的密钥初始化软件进行密钥解析，并下发给使用密钥的智能物联设备。
91.此外，本发明对密钥的下发过程设计了相关密钥下发协议，该协议规定了密钥下发终端和密钥分发装置之间的交互流程，密钥下发协议如下表1和表2所示。
92.表1
[0093][0094][0095]
表2
[0096][0097]
综上所述，本发明通过互联网远程安全接入第三方密码服务平台，以八字节的模组id作为标识进行密钥申请，利用传输保护密钥对密钥的申请流程进行保护。本发明对从第三方密码服务平台获取到的密钥密文解密后得到48*3字节的密钥，对该48*3字节的密钥明文进行长度、校验字段等相关字段进行验证，去除填充得到32*3字节的智能物联设备密钥。本发明的密钥分发终端按照自定义协议将该32*3字节的密钥注入到智能物联设备的安全软算法模块中。本发明的组成结构包括第三方密码服务平台、密钥分发管理模块和密钥注入模块三部分。本发明组成结构中的第三方密码服务平台由密码机、密服平台等部分构成，用于生成并管理密钥，包括生成密钥内容、提供硬件算法接口、按照特定协议进行加解密封装、提供随机数接口和密钥条数管理等。本发明组成结构中的密钥分发管理模块由密钥分发装置、计算机等部分构成，其中密钥分发装置由密服平台认证与接入模块、密钥存储
与分发模块组成。
[0098]
其中，密服平台认证与接入模块用于与第三方密服认证、接入密服平台进行数据通信和密钥获取，加密用户请求、按照约定的格式封装并发送给密服平台。密钥存储与分发模块用于接收用户的请求、查询数据库、存储密钥、发送请求；计算机用于连接密钥分发装置的“密钥存储与分发模块”，按照通信协议发送获取密钥请求、密钥查询、密钥存储等；
[0099]
本发明组成结构中的密钥注入模块由密钥分发终端和智能物联设备组成，用于调用密钥分发装置的密钥初始化程序，将第三方密码服务平台生成的密钥信息下发给智能物联设备安全软算法模块。本发明中的密钥分发方法流程中采用了基于id进行密钥管理的方式，可采用在线和离线两种方式进行密钥下发。
[0100]
从而，本发明提出的智能物联设备的密钥分发方法，通过互联网远程认证接入第三方密码服务平台，过程中以本地产生的公钥保护相关流程获取传输保护密钥，该传输保护密钥用于保护密钥远程传输过程。本发明以八字节的id作为标识进行密钥申请，获取由传输保护密钥保护的密钥密文，解密后得到48*3字节的密钥。对该48*3字节的密钥明文进行长度、校验字段等相关字段进行验证，去除填充得到32*3字节的智能物联设备密钥。按照自定义协议将该32*3字节的智能物联设备密钥注入到安全软算法模块中。从而，在向智能物联设备的安全软算法模块远程分发密钥时能够有效保证密钥的安全性。
[0101]
示例性系统
[0102]
图4是本发明一示例性实施例提供的电力物联网设备的密钥分发系统的结构示意图。如图4所示，密钥分发系统包括：
[0103]
第三方密码服务平台、密钥分发管理模块和密钥注入模块；其中
[0104]
第三方密码服务平台包括密码机和密服平台，密钥分发管理模块包括密钥分发装置和密钥分发客户端，密钥注入模块包括密钥分发终端和智能物联设备；
[0105]
密钥分发终端用于向密钥分发装置发起密钥获取请求；
[0106]
密钥分发装置用于根据所述密钥获取请求，确定采用的密钥下发方式，其中所述密钥下发方式分为密钥在线下发和密钥离线下发两种方式；
[0107]
密钥分发装置用于采用与确定的密钥下发方式对应的获取规则，获取对应的密钥数据；
[0108]
密钥分发装置用于按照密钥分发终端和密钥分发装置间的通信协议，将密钥数据下发至密钥分发终端；
[0109]
密钥分发终端用于对密钥数据进行解析，并下发给使用密钥的智能物联设备；
[0110]
第三方密码服务平台用于生成并管理密钥，包括生成密钥内容、提供硬件算法接口、按照特定协议进行加解密封装、提供随机数接口和密钥条数管理。
[0111]
可选地，密钥分发装置由密服平台认证与接入模块、密钥存储与分发模块两部分组成，其中
[0112]
密服平台认证与接入模块与第三方密码服务平台认证，接入第三方密码服务平台进行数据通信和密钥获取，并将用户的请求进行加密和按照约定的格式封装并发送给密服平台；
[0113]
密钥存储与分发模块用于接收用户的请求、查询数据库、存储密钥以及发送请求。
[0114]
可选地，密钥分发客户端用于连接密钥分发装置的密钥存储与分发模块，按照通
信协议发送获取密钥请求、密钥查询以及密钥存储。
[0115]
可选地，密钥分发终端用于调用密钥分发装置的密钥初始化程序，将第三方密码服务平台生成的密钥信息下发给智能物联设备的安全软算法模块。
[0116]
可选地，智能物联设备包括背夹、断路器和扩展模组。
[0117]
可选地，密钥分发装置采用与确定的密钥下发方式对应的获取规则，获取对应的密钥数据，包括：
[0118]
在确定的密钥下发方式为密钥在线下发时，密钥分发装置根据密钥获取请求中的id查询本地是否保存了该id的密钥；
[0119]
在本地没有保存该id的密钥时，密钥分发装置的密钥存储与分发模块向密服平台认证与接入模块提出密钥获取申请；
[0120]
密钥分发装置通过密服平台认证与接入模块调用内部硬件密码模块对申请进行加密，并组织报文向密服平台发出请求；
[0121]
密服平台处理请求，生成密钥，并将应答数据段发送给密钥分发装置的密服平台认证与接入模块；
[0122]
密钥分发装置的密服平台认证与接入模块处理接收数据，将应答数据段进行解析和解封装，得到密钥数据。
[0123]
可选地，密钥分发装置采用与确定的密钥下发方式对应的获取规则，获取对应的密钥数据，包括：
[0124]
在确定的密钥下发方式为密钥离线下发时，密钥分发装置根据密钥获取请求中的id查询本地是否保存了该id的密钥；
[0125]
在本地保存有该id的密钥时，密钥分发装置从本地获取密钥数据。
[0126]
本发明实施例的电力物联网设备的密钥分发系统400与本发明的另一个实施例的电力物联网设备的密钥分发方法100相对应，在此不再赘述。
[0127]
为了例示和描述的目的已经给出了以上描述。此外，此描述不意图将本发明的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例，但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。